Bài giảng An toàn và bảo mật hệ thống CNTT - Chương 5: Hiện thực và bảo trì an toàn hệ thống mạng

Chương 5Hiện thực và bảo trì an toàn hệ thống mạngNội dungNền tảng bảo mậtCủng cố OS và NOSCủng cố các thiết bị mạngCủng cố các ứng dụng5.1 Tổng quan các mối đe dọa mạngCơ sở bảo mật:Cần phát triển cơ sở tối thiểu hóa nhu cầu an toànĐịnh nghĩa các cấp độ bảo mậtCung cấp các thông tin đầu vào cho việc thiết kế, hiện thực và bảo trì tính bảo mật mạngChuẩn CC (Common Criteria): Canada, Pháp, Đức, Hà Lan, Anh và Mỹ. Gồm 7 cấp độ an toàn.Chuẩn CCEAL 1: hệ thống hoạt động đúng, không xem yếu tố bảo mật là quan trọngEAL2: yêu cầu người thiết kế hệ thống sử dụng tốt các thủ tục thiết kế. Yếu tố bảo mật không có mức độ ưu tiên caoEAL 3: Yêu cầu phát triển cẩn thận cho mức độ an toànEAL 4: đòi hỏi tích cực thiết kế bảo mật dựa trên các thủ tục an toàn được phát triển trong thương mại. Chuẩn để đo tính bảo mật các hệ thống.EAL 5: đảm bảo chắc chắn thiết kế bảo mật được xây dựng dựa trên các công cụ thương mại hóa từ giai đoạn đầu tiên. Mức độ bảo mật cao, các TH đặc biệt được xem xétEAL 6: cung cấp các mức độ bảo mật cao, chống các đe dọa lớn ở mức cao, chống xâm nhập ở mức caoEAL 7: các mức độ bảo mật cực cao. Yêu cầu mở rộng kiểm tra, đo đạc, và kiểm tra các thành phần riêng lẻ 1 cách độc lập.Ví dụ:EAL 4: Sun Microsystems, September 2002, Sun Solaris 8, Operating Environment and Sun Trusted Solaris version 8 4/01EAL 4+: Windows 2000, nếu phần hiện thực hệ thống không sử dụng các biện pháp bảo mật sẵn có thì hệ thống chỉ ở mức dưới EAL 4+5.2 Củng cố OS và NOSQuá trình làm cho môi trường làm việc an toàn hơnCấu hình các giao thức mạngMicrosoft Windows 9xCủng cố Microsoft Windows NT 4Củng cố Microsoft Windows 2000Củng cố Microsoft Windows XPCủng cố Windows Server 2003Củng cố Unix/LinuxCủng cố Novell NetWareCủng cố Apple MacintoshCủng cố hệ thống tập tinCập nhật hệ điều hànhCấu hình giao thức mạngNetBEUIKhó bị tấn công từ bên ngoàiVì NetBEUI không thể định tuyến -> không thể kết nối nó với mạng bên ngoàiTCP/IPHiện nay được thiết kế hiện thực khá an toànIPX/SPXGiao thức hiệu quả, khả định tuyến, được thiết kế cho Novell NetwareCó thể định tuyến khi yêu cầu cấu hình routerNetBIOS có thể gán với IPX/SPXKhông gán giao thức NetBIOS với bất kỳ giao thức khác.Protocol giao tiếp giữa client/server phải nằm vị trí đầu tiên trong list gán giao thức.Windows 9xCấu hình mạng, quản lý các dịch vụ, chia sẻ file, cập nhật các ứng dụngSử dụng System Policies để ngăn không cho thay đổi Registry.System Policies đặt trên server và được download về cho mỗi kết nối clientWindows NT 4Có 6 service pack, SP6, SP6aEAL 3RAS, dịch vụ Web, FTP, chia sẻ tập tinTắt các dịch vụ không cần thiết.Thiết lập các chính sách quản trị tài khoảnWindows 2000Cập nhật bảo mật: rất nhiều.Tắt các dịch vụ IIS, FTP, và một số dịch vụ khác khi không cầnMicrosoft TechNet security logs, báo cáo, các công cụ quản lýEvent ViewerPerformance MonitorActive Directory, hạn chế: tất cả các máy trong mạng đều phải chạy windows 2000 hoặc cao hơnWindows XPXP Home thay thế Windows 9xXP Pro thay thế Windows 98, và 2000 ProCài đặt các service packSP3Củng cố hệ thống tập tinFAT, FAT16, FAT32: quyền truy xuất mức độ user và chia sẻUser có quyền ghi hoặc thay đổi ổ đĩa, thư mục thì có quyền truy xuất đến toàn bộ các tập tin ở đó -> nguy hiểm trong InternetNTFS: hệ thống lưu giữ các giao tác, giúp phục hồi trạng thái khi hệ điều hành NT lỗi hoặc gặp sự cố mất điện.Các tập tin, thư mục và ổ đĩa có thể có đặc tính bảo mật riêng.Bảo mật của NTFS uyển chuyển và được xây dựng sẵnCó các chương trình mã hóa tập tin đặc biệt lưu trữ dữ liệu trên đĩa cứngKhuyến cáo: chi sẻ qua mạng nên sử dụng NTFS.Hệ thống tập tin UnixLà hệ thống tập tin có cấu trúc đầy đủ. Mỗi tập tin, hệ thống file, thư mục con có tính kiểm soát truy xuất nhất quán3 thuộc tính chính: Read, Write, và Execute.Tính bảo mật cao nhất trong các hệ thống thương mạiCập nhật hệ điều hànhHotfixService patchPatch5.3 Củng cố thiết bị mạngCập nhật phần mềm điều khiển router, switchCó thể được cấu hình trước, người quản trị có thể cấu hình lạiCho phép thêm, mở rộng các đặc tính của thiết bịCó thể cấu hình các thiết bị dạng webCho phép và cấm các dịch vụ, các giao thứcSử dụng ACL (Access Control List) để ngăn chặn sự xâm nhập trái phép của các IP5.4 Củng cố các phần mềmWeb ServerLọc và kiểm soát truy cập đến các scriptE-mail ServerSử dụng chương trình diệt virusQuét định kỳ nhằm loại bỏ virus và các email rácFTP ServerCho phép tạo tập tin trên bất kỳ ổ đĩa nào trong hệ thốngNên tạo ổ đĩa hoặc thư mục riêng cho dịch vụ FTPSử dụng SSH, hoặc VPN trong dịch vụTắt chế độ anymnomousDNS ServerChú ý DNS DoS, Network footprint (NSLOOKUP), đảm bảo tính nhất quán của các record.Củng cố hệ thống tập tin, máy in và các dịch vụTắt các dịch vụ liên quan NetBIOSCác dịch vụ NetBIOS ở port 135, 137, 138, 139 dễ bị tấn côngTrên Unix, tắt port RPC 111.Không nên share thư mục gốcCủng cố dịch vụ DHCP